NGINX 설정 HTTPS OCSP 전체 과정

회전:https://sillydong.com/mysa/myserver/https_openssl.html
최근 디 버 깅 https 에서 godaddy 인증 서 를 샀 습 니 다. ocsp 설정 이 성공 하지 못 했 습 니 다. 인터넷 의 각종 문 서 를 참고 하여 godaddy 저장 소 에서 각종 인증 서 를 다운로드 하고 각종 검색 결 과 를 시도 해 보 았 습 니 다. 나중에 startssl 인증 서 를 신 청 했 습 니 다. 간단하게 설정 하 였 습 니 다. 홈 페이지 에서 루트 인증서 와 중간 인증 서 를 합성 하면 ocsp 를 사용 할 수 있 습 니 다.메 일 은 startssl 의 고객 지원 에 게 설정 문 서 를 받 았 습 니 다. 여러 번 시도 한 끝 에 nginx 에 godaddy 의 아버지 인증 서 를 사용 한 ocsp 를 맞 추 었 습 니 다.과정 에 관심 이 없 으 면 마지막 한 마디 의 총 결 을 볼 수 있다.
godaddy 의 ocsp 에 존재 하 는 문 제 는 아 리 클 라 우 드 에서 ocsp. godaddy. com 을 연결 할 수 없다 는 것 입 니 다. ping 의 지연 시간 은 100 대 몇 십 밀리초 이 고 요청 속도 에 영향 을 줄 수 있 습 니 다. 저 는 현지에서 연결 할 수 있 습 니 다. 비록 이렇게 큰 지연 시간 이 있 지만 어쨌든 인증 서 를 검증 할 수 있 습 니 다.이 문 제 는 아 리 운 에서 작업 명세 서 를 제출 했다. 그들 은 아무런 제한 이 없다 고 말 했다. 나 에 게 인증 서 를 제공 하 는 측 에 연락 하 라 고 했 고 godaddy 고객 센터 는 ocsp 가 무슨 귀신 인지 들 어 본 적 이 없다 고 말 했다.가까스로 고생 한 후에 전체 고생 과정 에서 관련 된 명령 들 을 총 결 하 였 다.
우선 키 와 csr 생 성 명령:openssl req -new -newkey rsa:2048 -nodes -keyout site.key -out site.csr
과정 중 에 몇 가지 문제 가 있 는데 각각 다음 과 같은 정 보 를 기입 한다.
문제.
설명 하 다.
Country Name
국가 코드
State or Province Name
성, 전 칭 을 쓰 면 생략 하고 쓰 지 않 을 수 있 습 니 다. 예 를 들 어 강 수 입 니 다.
Locality Name
도시
Organization Name
조직 명
Organizational Unit Name
조직 단위 명
Common Name
일반 이름, 보통 도 메 인 이름, 예 를 들 어 sillydong. com
4. 567914. 비밀번호 와 메 일 을 작성 해 야 합 니 다. 비밀번호 와 메 일 은 모두 생략 할 수 있 지만 메 일 을 작성 해도 손실 이 없습니다.
생 성 된 site. csr 파일 의 내용 은 인증 서 를 신청 하 는 데 사 용 됩 니 다. 필요 할 때 텍스트 편집기 로 열 어서 내용 을 복사 합 니 다.
nginx 설정 과정 에서 위의 site. key 를 직접 사용 하면 nginx 를 다시 시작 할 때마다 비밀 번 호 를 입력 해 야 계속 할 수 있 습 니 다.이 자동화 작업 은 매우 불편 하기 때문에 암호 가 없 는 버 전의 key 를 만 들 려 면 다음 명령 을 사용 하 십시오.extra attribute
nginx 에서 site. nopass. key 를 사용 하면 비밀 번 호 를 입력 할 때마다 번 거 로 운 절 차 를 면 할 수 있 습 니 다.
csr 파일 정보 명령 보기:openssl rsa -in site.key -out site.nopass.key
인증서 파일 정보 보기 명령:openssl req -in site.csr -noout -text
인증서 fingerprint 명령 보기:openssl x509 -in site.crt -noout -text
다음은 인증서 및 https 인증 과 관련 된 명령 입 니 다.openssl x509 -in site.crt -noout -fingerprint
이 명령 은 인증서 의 주 체 를 검사 하 는 데 사 용 됩 니 다. 인증서 의 도 메 인 을 볼 수 있 습 니 다.openssl x509 -in site.crt -noout -subject
이 명령 은 인증서 의 ocsp 주 소 를 보 는 데 사 용 됩 니 다. 예 를 들 어 godaddy 는 ocsp. godaddy. com 입 니 다.openssl x509 -in site.crt -noout -ocsp_uri
이 명령 은 ocsp 인증 결 과 를 stapling 에 기록 할 수 있 습 니 다.ocsp 파일, 이 파일 은 nginx 의 https 설정 에 직접 사용 할 수 있 으 며, 파일 을 사용 하면 nginx 가 네트워크 요청 검증 을 하지 않 고 이 파일 의 결과 내용 을 직접 사용 할 수 있 습 니 다.
또한 이러한 방식 을 통 해 로 컬 에서 생 성 된 결 과 를 서버 에 직접 설정 해 야 서버 가 godaddy 에 요청 할 수 없 는 ocsp 주소 문 제 를 피 할 수 있 습 니 다.openssl ocsp -issuer gd_bundle-g2-g1.crt -cert site.crt -no_nonce -text -url http://ocsp.godaddy.com -text -respout stapling_ocsp
이 명령 은 https 가 요청 한 인증서 에 대한 정 보 를 볼 수 있 습 니 다. ocsp 정보 에 만 관심 이 있다 면 뒤에서 grep 를 따라 갈 수 있 습 니 다. 다음 과 같 습 니 다.openssl s_client -connect sillydong.com:443 -status –cafile gd_bundle-g2-g1.crt -tlsextdebug < /dev/null 2>&1
이 명령 이 실 행 된 후, 아래 내용 을 보 았 다 면, 축하합니다. ocsp 설정 이 성공 하 였 습 니 다!

OCSP response: 
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

stapling 을 받 았 습 니 다.ocsp 파일 이후 nginx 의 설정 과정 은 상당히 간단 합 니 다.
일반적으로 godaddy 에서 인증 서 를 구 매 한 후에 다운로드 할 수 있 습 니 다. 압축 패 키 지 를 받 을 수 있 습 니 다. 사이트 인증서 와 중간 인증 서 를 포함 하고 두 개의 crt 파일 을 포함 합 니 다. nginx 는 두 개의 crt 파일 을 합성 해 야 합 니 다.openssl s_client -connect sillydong.com:443 -status –cafile gd_bundle-g2-g1.crt -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
하나의 파일 을 합성 하지 않 고 사용 하면 안 드 로 이 드 나 ios 개발 에서 https 인 터 페 이 스 를 호출 하면 오류 가 발생 할 수 있 습 니 다. 예 를 들 어 ios 에 보고 - 102 상황 이 존재 하고 합성 하면 이 문 제 를 해결 할 수 있 습 니 다.
nginx 의 전체 ssl 설정 내용 은 다음 과 같 습 니 다.

ssl_certificate      /home/certs/combined.crt;
ssl_certificate_key  /home/certs/site.nopass.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_stapling on;
ssl_stapling_verify on;
ssl_stapling_file /home/certs/stapling_ocsp;
ssl_trusted_certificate /home/certs/gd_bundle-g2-g1.crt;
resolver 114.114.114.114 valid=300s;
resolver_timeout 1s;
add_header Strict-Transport-Security "max-age=31536000";

이렇게 설정 한 후 위 에서 ocsp 를 검증 하 는 명령 테스트 를 사용 하면 정확 한 결 과 를 얻 을 수 있 습 니 다.
총괄 적 으로 말하자면, 이 이 야 기 는 우리 에 게 godaddy 의 ssl 을 사지 말 라 고 알려 준다.godaddy ssl 사지 마!godaddy ssl 사지 마!